北京时间2月24日上午,俄罗斯以“闪电战”方式迅速瓦解乌克兰武装抵抗力量,将俄军对乌陆、海、空、天、网“五维一体”的作战能力优势演绎得淋漓尽致。从各种媒体报道中,我们看到乌克兰政府机构和银行的网站遭遇DDoS攻击、乌克兰政府网站和总统办公室主网页被克隆、乌克兰以及拉脱维亚和立陶宛计算机上发现数据擦除恶意软件等一系列事件。
英国国家网络安全中心(NCSC)和美国网络安全和基础设施安全局(CISA)发布了有关针对网络设备的新恶意软件的详细信息,他们将其归咎于Sandworm(又名BlackEnergy),这些机构之前曾将威胁行为归因于俄罗斯GRU的特殊技术中心GTsST,但至今仍然没有确切消息证实为俄方所为,充分体现出“网络战”在大国激烈冲突中的特殊作用,以及防范的困难性、对抗的激烈性和追溯的复杂性。
网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。而网络攻防的对抗是非对称的,防守往往处于被动的位置。本文试图通过对俄乌在网络空间行动的观察来分析归纳攻击者的战略、战术,以此为我国的网络安全防护工作者们提供参考。
近两年俄乌网络冲突回顾
随着俄乌冲突加剧,近两年乌克兰连续遭受高水平网络攻击,我们盘点了近两年来涉及俄乌两国网络暗战的重点时间线——
2020年2月,“魔鼠行动”以新冠病毒为主题攻击乌克兰;
2020年5月,乌克兰特勤局逮捕名叫 Sanix 的黑客,其曾通过黑客论坛和 Telegram 渠道贩卖数十亿受害用户的登陆凭证;
2020年11月,卢甘斯克组织针对乌克兰投递大量恶意钓鱼邮件进行定向攻击活动;
2021年2月,乌克兰国家安全和国防委员会宣布国家机构的文件管理系统遭到网络攻击;
2021年4月,APT组织Gamaredon针对乌克兰军政人员实施定向攻击且使用新版后门工具;
2021年6月,乌克兰警方与韩国警察的联合突袭中锁定了六名Clop勒索软件团伙嫌疑人;
2021年11月,乌克兰对APT组织Gamaredon中的五名成员进行了批露,称其与克里米亚半岛 FSB 的塞瓦斯托波尔分支机构有关;
2022年1月13日至14日,乌克兰国家安全局宣布包括乌克兰外交部、教育部、内政部、能源部等在内的多个政府网站“遭到大规模黑客攻击”;
2022年2月,Lorec53组织针对乌克兰国防部、财政部、大使馆、国企、公众医疗设施等关键国家机构投递多种钓鱼文件,进行以收集组织人员信息为主的网络攻击活动;
2022年2月12-16日,乌克兰全军证书中心开始遭受Gafgyt、Mirai僵尸网络发起的DDoS攻击,其中16日达到巅峰;
2022年2月,在乌克兰发现新型数据擦除恶意软件HermeticWiper;
2022年2月7日-2月25日起,发现利用Botnet针对俄罗斯政府和军队DDoS攻击。
俄乌网络冲突体现的对抗特点
——着眼全胜:兵马未动,网战先行
由于网络战溯源难、定性难,因此目前网络战没有和常规战争一样被定义为军事入侵,然而在目前高速发达的信息化条件下,网络战却因其巨大的破坏力,可以达到“不战而屈人之兵”的战略目的。攻击者前期对乌克兰政府网站的资产进行了研究,发现乌克兰政府网站大规模使用了名为“Octobercms”的建站软件和Apache网站系统。因此仅利用了两个杀伤力极大的N-day漏洞——CMS漏洞(CVE-2021-32648)、Log4j代码执行漏洞(CVE-2021-44228)就入侵多个政府网站,极大扩大了网络攻击的杀伤面。在2月24日普京讲话后,乌克兰军政组织、武装力量瞬间瘫痪、失去抵抗力量,俄罗斯和车臣武装力量随后长驱直入充分体现了这一点,未来战争“兵马未动,网战先行”将会成为常态。
——控制全局:关基为经、军政为纬
而网络战要想达到“不战而屈人之兵”的战略目的,必须形成大规模、深层次、多维度的全局控制能力。从国家网络安全体系的视角来看,金融、能源、电力、通信、交通等涉及国计民生的关键信息基础设施是构成国家网络安全的横向支撑;党政、军队以及各种武装力量的组织指挥体系是构成国家网络安全的纵向支撑和中枢机构。因此,关基和军政是网络首要被攻击的目标。
对乌克兰的攻击者构建了虚假政府和总统办公室网站,诱骗政府人员登录钓鱼网站,获取账号密码,进而向重要机构投递精心构建的鱼叉攻击邮件、投放恶意软件,实施大范围渗透入侵;同时传播数据擦除恶意软件(HermeticWiper),破坏乌克兰(拉脱维亚和立陶宛也受到攻击)政府机构和关键信息基础设施计算机的数据,达到深度致瘫的效果,同时窃取重要敏感数据。攻击者在有针对性的对重要机构发动定向攻击的同时,还发动大规模DDoS攻击,干扰甚至瘫痪乌克兰的政府机构、银行等在线公共服务基础设施,扰乱基于网络的社会治理功能,制造社会混乱和恐慌。
——平战一体:平时窃密、战时致瘫
网络战所采取的攻击方式与常规战争一样都是经过长期的战略准备与策划,具有极强的隐蔽性和针对性,通过反复渗透,不断改进攻击路径和方法,发动持续攻击,达到平时窃密、战时致瘫的目的。从以上时间轴事件来看,俄对乌网络战进攻能够迅速奏效,其实是“冰冻三尺,非一日之寒”。
从2020年2月开始至2022年2月期间,大致经历了攻击侦察、伪装诱骗、远程入侵、木马植入、隐蔽潜伏、横向扩散、数据窃取、远程操控、傀儡利用等阶段,攻击对象经历了由社会组织、政府机构最后直至军事系统的复杂移动过程,显然经过背后复杂而精密的设计,最终形成多层次的攻击杀伤链,为俄发动“闪电一击”提供支撑。
俄乌网络冲突战略战术分析
针对以上攻防博弈,我们从战略、战术两个层面对当前的俄乌网络冲突做分析。
战略意图层面
(一)破坏基于网络的公共基础设施如银行、卫生部等,扰乱基于网络的社会治理功能,制造社会混乱和恐慌;
(二)攻击政府、军事、外交等国家机器重点部门达到长期窃取数据和持续控制,必要时刻可深度瘫痪效果;
(三)控制重要媒体、官网等门户网站内容,控制舆论内容,达到震慑国内民众效果。
战术手法层面
为了达到战略意图,其采用的战术手法如下:
(一)全方位信息收集
1. 构建诱骗网络如钓鱼网站等获取关键人员账号密码;
2. 向地下黑客论坛或Telegram电报群购买受害者相关信息;
3. 利用漏洞攻击相关管理系统获取通讯录,登录凭证等信息;
4. 攻击邮件服务器或个人邮箱,通过通讯录扩大战果获取更过相关人员信息,开展针对高层管理人员的“鲸钓攻击”,为了防止个人邮箱被永久停用还会收集除了该邮箱外其他关联信息;
(二)渗透入侵
5. 通过钓鱼等典型社会工程学攻击仍然是主要攻击手法,通过构造恶意邮件附件如doc、zip、chm、lnk、cpl、rar等后缀文件作为邮件附件,进行边界突破获取对攻击目标的初步访问权限;
6. 通过软件漏洞直接进行攻击入侵,比如CMS漏洞,较新CVE漏洞等。此级别攻击不排除硬件设备0day或1day等漏洞;
(三)内部扩散
7. 通过感染现有电子办公文档或电子文档模板,在目标系统内部进行广泛传播;
8. 通过U盘等可移动设备在内部进行恶意代码扩散;
9. 通过系统正常程序——例如impacket工具包中的wmiexec等命令实施内部攻击等;
(四)隐蔽潜伏
10. 攻击者不断更新升级最新武器工具,或不断修改升级自身特征(例如UA)来防止被防守方安全系统发现;
11. 攻击者通过修改网络资产固件等方式进行供应链攻击,增加隐蔽性和潜伏的持久性;
12. 攻击者利用恶意文件混淆、邮件关键信息模糊化处理、动态url拼接、域名重定向,甚至无文件驻留攻击等技术手法尽其所能地规避安全检测;
(五)数据窃取
13. 通过加密通信软件Telegram电报群API接口进行数据传输,或利用Rococopy和云盘备份窃取文件;
(六)DDos攻击
14. 利用僵尸网络——如Marai家族、Gafgyt家族(攻击乌克兰)等发动大规模DDoS攻击;
15. 混合采用多种类型的DDoS攻击技术,包含了NTP放大、UDP/STD/OVH flood等。
俄乌网络冲突对我国网络安全工作的启示
国务院年初印发了《“十四五”数字经济发展规划》,部署的八项重点任务之一就是“着力强化数字经济安全体系。增强网络安全防护能力,提升数据安全保障水平,有效防范各类风险”。
基于上述对俄乌网络冲突的战略、战术的初步分析,我们不由得思考——在数字经济的大背景下,网络运营者该如何应对日益复杂的网络安全挑战?
以下提出几点建议:
(一)数字经济的基础设施是网络和信息系统,而网络和信息系统的基本元素则是各种在线资产。做好网络安全的基础性工作就是做好在线资产的核查和准入管理,摸清资产底数,坚决不能出现“对手”比自己更了解自己的尴尬局面。
(二)加强资产漏洞风险管理,定期开展漏洞扫描、弱口令检查工作,与网络安全专业机构建立密切的漏洞信息通报机制,及时获得漏洞信息并在内部开展资产排查和安全加固工作。
(三)加强网络防护能力建设,部署必要的网络防护、终端防护、云安全防护、数据安全防护等技术措施,配置严格的安全访问策略,最大程度降低被外部入侵和内部横向攻击的风险。
(四)加强网络攻击威胁监测和态势分析能力建设,部署必要的基于网络流量、终端行为和威胁情报关联分析的攻击检测手段。尤其需要特别重视的是,这些技术手段能否持续发挥作用的关键在于其检测规则、知识库的是否准确并及时更新,因此要选择长期追踪网络攻击组织、持续研究检测规则的专业性团队合作,确保始终获得高质量的知识库,始终对准最新的安全威胁。
中资网安在工作实践中,始终关注国际国内的网络安全威胁,研究并运用相关攻击和威胁检测与大数据分析规则,发现并处置了包括APT攻击在内的大量网络安全事件。我们将继续密切关注俄乌冲突相关的网络安全动态,及时了解和分析最新的网络攻击手法和攻击活动,进一步提升发现和分析能力,更好地为我国的数字经济安全体系建设服务。
